Notifikationer

Markér alle som læst Log ud

putte30 Nybegynder

08. april 2004 - 10:11 Der er 5 kommentarer og
1 løsning

Startside skifter

Hej Min startside ændres hele tiden til http://linklist.cc/index.php?aid=20420

Her er min log-fil fra Hijackthis.

Logfile of HijackThis v1.97.7
Scan saved at 09:54:46, on 08-04-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmer\HP\HP Software Update\HPWuSchd.exe
C:\Programmer\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\docume~1\charlo~3\applic~1\svchost.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\12Ghosts\12popup.exe
C:\WINDOWS\System32\SXML4aM.exe
C:\Programmer\CA\eTrust Antivirus\InoRpc.exe
C:\Programmer\CA\eTrust Antivirus\InoRT.exe
C:\Programmer\CA\eTrust Antivirus\InoTask.exe
C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Charlotte og Søren\Lokale indstillinger\Temporary Internet Files\Content.IE5\S7VVQKXH\hijackthis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://iuuxbd.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://iuuxbd.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://iuuxbd.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://iuuxbd.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://iuuxbd.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://iuuxbd.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://iuuxbd.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://iuuxbd.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://iuuxbd.t.muxa.cc/h.php?aid=420 (obfuscated)
O2 - BHO: (no name) - {00000000-0007-5041-4354-0020e48020af} - C:\Programmer\12Ghosts\12popup.dll
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 12-Popup - {00000000-0008-5041-4354-0020e48020af} - C:\Programmer\12Ghosts\12popup.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmer\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [SXML4aM] C:\WINDOWS\System32\SXML4aM.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [System Update2] c:\docume~1\charlo~3\applic~1\svchost.exe
O4 - Startup: 12Ghosts Popup-Killer.lnk = C:\Programmer\12Ghosts\12popup.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O12 - Plugin for .PDF: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab

Jeg kan heller ikke længere få lov til at ændre min startside i kontrolpanelet.

Er der nogen som kan hjælpe?

Synes godt om

fromsej Praktikant

08. april 2004 - 10:12 #1

Hent cwshredder her:
http://www.spywareinfo.com/~merijn/junk/CWShredder.exe
Kør programmet, tjek for updates, luk alle vinduer, undtaget cwshredder, klik på Next, den scanner nu, når den er færdig klik på Fix, klik på Exit.
Derefter genstart, og en ny hijackthislog.

Synes godt om

fromsej Praktikant

08. april 2004 - 10:24 #2

Du får lige listen over dem der skal væk, så må du selv lige tjekke hvor mange af dem CWShredderen tog, resten skal så fixes.

Flyt først filen Hijackthis til en mappe oprettet kun til den.

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret(Tryk <F8> under opstart) og slet filerne listet nederst.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://iuuxbd.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://iuuxbd.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://iuuxbd.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://iuuxbd.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://iuuxbd.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://iuuxbd.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://iuuxbd.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://iuuxbd.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://iuuxbd.t.muxa.cc/h.php?aid=420 (obfuscated)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKCU\..\Run: [System Update2] c:\docume~1\charlo~3\applic~1\svchost.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

---------------------------------------
Kender du? Ellers fixes.
O4 - HKLM\..\Run: [SXML4aM] C:\WINDOWS\System32\SXML4aM.exe

---------------------------------------
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

---------------------------------------
Slettes i fejlsikret.
C:\WINDOWS\twaintec.dll <- Filen.
C:\WINDOWS\alchem.exe <- Filen.
c:\docume~1\charlo~3\applic~1\svchost.exe <- Filen. VIGTIGT det SKAL være i den sti, den svchost der ligger i system32 er legal, det er kun den her der skal væk.
---------------------------------------
Du skal også lige hente og installere Servicepack 1 samt hotfixes til din XP
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ servicepacks + IE
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da - Hotfixes efter SP1 til XP.

Genstart og kom med en ny logfil, så jeg kan se om alt er med.

Synes godt om

putte30 Nybegynder

08. april 2004 - 10:35 #3

Nu kan jeg se at det som ligger i log-filen er alt sammen nogen jeg kender.

Tak for hjælpen.

Synes godt om

fromsej Praktikant

08. april 2004 - 10:42 #4

Velbekomme, er dit problem løst?
Hvis ja, så marker venligst mit navn og klik på accepter, hvis nej, så kom med en ny logfil fra hijackthis.

Du bør også kigge lidt i vores artikel om sikker surfing:
http://www.eksperten.dk/artikler/144
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.

Synes godt om

putte30 Nybegynder

08. april 2004 - 12:41 #5

Hej igen.

Næ... desværre er problemet endnu ikke løst.

Her er min sidste hijack fil.

Logfile of HijackThis v1.97.7
Scan saved at 12:40:09, on 08-04-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmer\HP\HP Software Update\HPWuSchd.exe
C:\Programmer\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\docume~1\charlo~3\applic~1\svchost.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\12Ghosts\12popup.exe
C:\Programmer\CA\eTrust Antivirus\InoRpc.exe
C:\Programmer\CA\eTrust Antivirus\InoRT.exe
C:\Programmer\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\System32\nsapid.exe
C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Charlotte og Søren\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hep.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hep.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hep.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hep.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {00000000-0007-5041-4354-0020e48020af} - C:\Programmer\12Ghosts\12popup.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {C2B98F81-E668-4697-8D69-9682F1579325} - C:\WINDOWS\System32\hep.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 12-Popup - {00000000-0008-5041-4354-0020e48020af} - C:\Programmer\12Ghosts\12popup.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmer\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [nsapid] C:\WINDOWS\System32\nsapid.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyKiller] C:\Programmer\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [System Update2] c:\docume~1\charlo~3\applic~1\svchost.exe
O4 - Startup: 12Ghosts Popup-Killer.lnk = C:\Programmer\12Ghosts\12popup.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O12 - Plugin for .PDF: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Synes godt om

fromsej Praktikant

09. april 2004 - 11:23 #6

Fixes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hep.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hep.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hep.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hep.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {C2B98F81-E668-4697-8D69-9682F1579325} - C:\WINDOWS\System32\hep.dll
O4 - HKLM\..\Run: [nsapid] C:\WINDOWS\System32\nsapid.exe
O4 - HKCU\..\Run: [System Update2] c:\docume~1\charlo~3\applic~1\svchost.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE

Slettes i fejlsikret:
C:\WINDOWS\System32\hep.dll <- filen.
C:\WINDOWS\System32\nsapid.exe <- filen.
c:\docume~1\charlo~3\applic~1\svchost.exe <- Filen. Men den burde være væk.

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Internetforbindelser kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Mistes nøglen til mit Wi-Fi Af valby i Internetforbindelser	7	05/05/202521:37	08/05/202511:03
Problem med verificering på hjemmesider Af akse0435 i Internetforbindelser	3	09/03/202502:09	10/03/202505:08
Hvordan ændres UniFi Dream Machine UDM til switch mode Af Kasper4450 i Internetforbindelser	5	24/11/202413:30	27/11/202414:11
Fejl på netwærkskort Af komsam i Internetforbindelser	2	15/11/202416:24	15/11/202418:01
Erfaring med skift fra Yousee bredbånd til Fibernet? Af nu_igen i Internetforbindelser	13	19/10/202410:58	20/10/202412:22

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS

23/01

Den amerikanske TikTok-aftale er endelig på plads: Michael Dell og Oracles cloud spiller nøgleroller

23/01

Volvo har sat sig for at blæse bilbranchen bagover med EX60: Derfor er Volvo nu Europas førende bilproducent

23/01

It-rigmænd bag Trump har en vild vision med Grønland: En technoby ude i den kolde ødemark

23/01

Dansk fond med trecifret millionomsætning ramt af ransomware: Hackere har tilgået ansattes løn-oplysninger

23/01

Nørgaard: Jeg har en rigtig god ide, som universiteterne bør sætte deres studerende til at løse - de bør kunne finde på noget

23/01

Nye toner fra Microsofts topchef: Satya Nadella advarer om et AI-kollaps

23/01

Hvad ønsker de modne it-specialister af deres arbejdsplads? Sådan gør man virksomheden attraktiv for det grå guld

23/01

Amazon i sin største fyringsrunde nogensinde: Op mod 30.000 stillinger nedlægges

23/01

Fire ud af fem frygter, at AI tager deres job – sådan undgår du, at det sker

23/01

Microsoft hæver priserne på egne partneres interne licens-pakker

23/01

Læs hele Computerworlds store magasin om it-sikkerhed - og om hvordan +50-årige danske it-folk fryses ud af arbejdsmarkedet

Vis flere artikler

IT-JOB

Capgemini Danmark A/S

Management Consultant

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Cyberdivisionen søger IT-supporterelever til lokal IT på Vordingborg Kaserne

KMD A/S

Seniorudvikler (.NET)

Capgemini Danmark A/S

Open Application (Denmark)

Banedanmark

Systemkonsulent med solide IT-kompetencer

Vis flere jobs

Seneste spørgsmål Seneste aktivitet

I dag 09:50	Mobilpay svindel Af nu_igen i Andre onlineløsninger
22/0120:51	Knap til ipad Af FinnLauridsen i Excel
21/0113:53	Icloud mail via Outlook Af lbc i E-mail programmer
21/0108:32	USB NØGLE gratis Af nu_igen i Andet hardware
20/0121:11	Hvordan får jeg reCAPTCHA på min hjemmeside? Af Strawberry i PHP

White papers

Revolutionér kundeoplevelsen med AI og automatisering
Sabio
IT i front: Sådan bliver netværk en strategisk driver
TDC Erhverv
Er I klar til at tage næste skridt på den digitale retailrejse?
TDC Erhverv
Styrk medarbejderglæde og produktivitet med DEX
Conscia

Flere white papers »